CVE-2002-1825 (CNNVD-200212-145)
中文标题:
OpenVMS WASD HTTP服务程序多个远程漏洞
英文标题:
Format string vulnerability in PerlRTE_example1.pl in WASD 7.1, 7.2.0 through 7.2.3, and 8.0.0 allow...
漏洞描述
中文描述:
WASD VMS超文本服务是一款使用在OpenVMS系统上流行的HTTP服务程序。 WASD HTTP服务程序存在多个漏洞,远程攻击者可以利用这些漏洞进行访问系统文件,获得系统敏感信息,以SYSTEM权限执行任意指令等攻击。 * 默认情况下"Tree"内部脚本允许生成目录树,通过提交 http://webserver/tree/ 请求,可以获得整个目录树。提交统配符'*.*'可导致获得全部文件信息。 (相关文档:http://wasd.vsm.com.au/ht_root/doc/env/env_0400.html#43 ) * 默认情况下,向WASD HTTP服务程序提交类似如下的请求,可以造成目录遍历攻击: http://webserver/dirname/*.* (相关文档:http://wasd.vsm.com.au/ht_root/doc/env/env_0400.html ) * upd脚本存在目录遍历漏洞,提交http://webserver/upd/dirname/请求可以泄露当前文件信息。(相关文档:http://wasd.vsm.com.au/httpd/-/updhelp.html ) * WASD HTTP服务程序存在多个搜索脚本,可以用来搜索所有文档。(相关文档:http://wasd.vsm.com.au/ht_root/doc/env/env_0700.html#97 ) * 默认情况下server root可访问,系统中文档目录就是服务程序主ROOT目录,包含多个配置文件,脚本,可执行文件,直接访问这些文件可以获得环境变量信息,配置等敏感信息。(相关文档:http://wasd.vsm.com.au/ht_root/doc/htd/htd_0600.html#98 ) * 系统访问控制规则可以很容易的绕过。 如httpd$map.conf配置文件包含如下: pass /ht_root/wwwroot* fail /ht_root/* fail /-/* 在上面这种情况下,服务程序主目录是ht_root,而文档目录是WWWROOT。"fail"规则可以通过如下访问绕过: http://theserver/ht_root/wwwroot/-/*.* * 文档ROOT位置容易判别: 文档ROOT位置可以方便的通过"where"脚本获得(相关文档:http://wasd.vsm.com.au/ht_root/doc/htd/htd_2100.html#364 ) 即使"where"脚本没有启用,"404 not found"错误页面提供的消息也会返回文档ROOT位置。错误页面会返回包含如下类似的信息: <!-- sts: %X00018292 "$1$DUA2:[HT_ROOT.][WWWROOT]NOTFOUND" --> * 全部WEB配置文件可以方便的获得: Web服务程序配置信息存放在ht_root/local/httpd$map.conf文件中,一般由如下规则保护: fail /ht_root/local/* 但是可以通过如下方法绕过获得配置文件信息: http://theserver/ht_root/wwwroot/-/local/httpd$map.conf 在一台机器上测试,既然没有"fail"规则,配置文件可以通过如下方法获得: http://theserver/local/httpd$map.conf * 所有WEB服务程序LOG可以方便获得: 如果配置文件中设置如下规则: fail /ht_root/log/* 可以通过如下请求获得日志信息: http://theserver/upd/ht_root/src/-/log/ 如果日志由ACLs保护,但你有系统上一个合法用户帐户,可以通过如下方法获得: $ show log HTTPD80$REQUEST "HTTPD80$REQUEST" = "08 11:56:42.200.430.5287.0.9000.<a href="http://theserver:" target="_blank">http://theserver: 80.ip.address.of.caller.GET /filename" * "tree"脚本可以显示隐藏的目录信息: 服务程序日志一般存放在/ht_root/log/server/目录下,由于一般由"fail"规则保护,所以子目录一般都隐藏,不过通过"tree"脚本可以访问隐藏目录信息: <a href="http://theserver/tree/ht_root/" target="_blank">http://theserver/tree/ht_root/ * CGI脚本列表可以方便的获得: 通过提交 <a href="http://theserver/cgi-bin/*.*" target="_blank">http://theserver/cgi-bin/*.* 访问不能获得CGI脚本列表,但是一般脚本都存放在ht_root/script/或者ht_root/script_local目录下,如果配置文件阻止这些目录访问,一般可以通过如下访问绕过限制获得CGI列表: <a href="http://theserver/ht_root/wwwroot/-/script_local/*.*" target="_blank">http://theserver/ht_root/wwwroot/-/script_local/*.* 各个用户的CGI脚本,可以运行URL: <a href="http://theserver/~username/cgi-bin/scriptname" target="_blank">http://theserver/~username/cgi-bin/scriptname 一般访问如下脚本会失败: <a href="http://theserver/~username/cgi-bin/*.*" target="_blank">http://theserver/~username/cgi-bin/*.* 但是你可以通过提交如下请求获得CGI脚本列表: <a href="http://theserver/~username/xxx/-/cgi-bin/*.*" target="_blank">http://theserver/~username/xxx/-/cgi-bin/*.* <a href="http://theserver/~username/.../*.com?search=$" target="_blank">http://theserver/~username/.../*.com?search=$ * CGI脚本源代码可以获得: 通过上面方法获得CGI脚本列表,可以点击相关连接获得脚本源代码,一般情况下脚本连接如如下形式: <a href="http://theserver/ht_root/wwwroot/-/script_local/scriptname" target="_blank">http://theserver/ht_root/wwwroot/-/script_local/scriptname * OpenVMS系统文件可以读取: 部分站点中,配置规则设置如下,只允许访问选择性的系统部分文件: pass /sys$common/syslib/* /sys$common/syslib/* 不过其他系统文件可以通过如下方法获得: <a href="http://theserver/sys$common/syslib/-/sysmgr/systartup_vms.com" target="_blank">http://theserver/sys$common/syslib/-/sysmgr/systartup_vms.com * 用户HOME目录可以读取: 一般用户目录映射为 <a href="http://theserver/~username/web/" target="_blank">http://theserver/~username/web/ ,如果OpenVMS保护和ACL设置不正确,可能可以以如下方法访问: <a href="http://theserver/~username/-/*.*" target="_blank">http://theserver/~username/-/*.* 不过有设置如下的映射规则会返回错误: pass /*/-/* /ht_root/runtime/*/* 但是可以通过如下方法访问: <a href="http://theserver/~username/x/--/*.*" target="_blank">http://theserver/~username/x/--/*.* 这里"--"类似"../.."。 * 默认情况下CGI脚本可执行: 默认情况下CGI脚本以http$server用户进程运行httpd.exe或者httpd_ssl.exe,这是个高权限用户,如果某个CGI脚本存在漏洞,可导致整个系统被控制。 * 默认CGI脚本存在多个漏洞: 某个脚本如果在VMS ACL运行的情况下可以写任意文件内容到服务器上,这个漏洞可以导致获得SYSTEM权限。 运行cgi_process.com程序,可以泄露大量系统相关信息给攻击者。 * PerlRTE_example1.pl脚本存在格式字符串漏洞,问题存在于printf ("$name=\"$ENV{$name}\"\n");调用上,这个$name变量由用户输入,但没有进行充分过滤。攻击者提供恶意格式串可导致覆盖内存任意地址,造成拒绝服务,或者执行任意代码。如<a href="http://wasd.vsm.com.au/plrte/PerlRTE_example1/%25x%25x%25x" target="_blank">http://wasd.vsm.com.au/plrte/PerlRTE_example1/%25x%25x%25x * print.com CGI脚本可以打印任意文件: 默认情况下print.com CGI脚本允许从远程打印文件到服务器上,不过这个脚本访问受IP限制如: $ HPRINTS_ALLOWED = "131.185.250.*" 任何这个IP地址范围内的用户可以打印任意文件,可能导致拒绝服务攻击。
英文描述:
Format string vulnerability in PerlRTE_example1.pl in WASD 7.1, 7.2.0 through 7.2.3, and 8.0.0 allows remote attackers to execute arbitrary commands or crash the server via format strings in the $name variable.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| wasd | wasd_http_server | 7.1 | - | - |
cpe:2.3:a:wasd:wasd_http_server:7.1:*:*:*:*:*:*:*
|
| wasd | wasd_http_server | 7.2 | - | - |
cpe:2.3:a:wasd:wasd_http_server:7.2:*:*:*:*:*:*:*
|
| wasd | wasd_http_server | 7.2.1 | - | - |
cpe:2.3:a:wasd:wasd_http_server:7.2.1:*:*:*:*:*:*:*
|
| wasd | wasd_http_server | 7.2.2 | - | - |
cpe:2.3:a:wasd:wasd_http_server:7.2.2:*:*:*:*:*:*:*
|
| wasd | wasd_http_server | 7.2.3 | - | - |
cpe:2.3:a:wasd:wasd_http_server:7.2.3:*:*:*:*:*:*:*
|
| wasd | wasd_http_server | 8.0 | - | - |
cpe:2.3:a:wasd:wasd_http_server:8.0:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:N/AC:L/Au:N/C:N/I:P/A:P
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2002-1825 |
2025-11-11 15:17:25 | 2025-11-11 07:32:17 |
| NVD | nvd_CVE-2002-1825 |
2025-11-11 14:50:28 | 2025-11-11 07:41:04 |
| CNNVD | cnnvd_CNNVD-200212-145 |
2025-11-11 15:08:41 | 2025-11-11 07:48:49 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-200212-145
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- cvss_score: 未提取 -> 6.4
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:N/I:P/A:P
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 6
- data_sources: ['cve'] -> ['cve', 'nvd']